5.8 パスワード同期の実装
Identity Managerで提供されているパスワード同期の機能により、いくつかの異なるシナリオを実装できます。この節では、基本シナリオについて説明し、Identity Managerのパスワード同期とNMASパスワードポリシーの設定がパスワード同期の方法にどのように影響を与えるかについて理解するために役立つ情報を提供します。現在の環境のニーズに合わせて、1つまたは複数のシナリオ使用できます。
- セクション 5.8.1, Identity ManagerとNMASの関係の概要
- セクション 5.8.2, シナリオ1: NDSパスワードを使用した、2つのアイデンティティボールト間の同期
- セクション 5.8.3, シナリオ2: ユニバーサルパスワードを使用した同期
- セクション 5.8.4, シナリオ3: Identity Managerでの配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期
- セクション 5.8.5, シナリオ4: トンネリング—Identity Managerでの配布パスワードの更新による、アイデンティティボールトではなく接続システムの同期
- シナリオ5: アプリケーションパスワードの単純パスワードへの同期
5.8.1 Identity ManagerとNMASの関係の概要
ユーティリティとNMAS
iManagerなどのユーティリティおよびNovell Clientは、特定のパスワードを直接更新せずに、NMASと通信します。NMASは、どのパスワードが更新されるのかを決定するエンティティです。
NMASパスワードポリシーの設定に基づいて、NMASがアイデンティティボールト内でパスワードを同期します。
ユニバーサルパスワードが有効でないレガシーユーティリティは、NDSパスワードを直接更新します。NMASと通信し、NMASがどのパスワードを更新するかを決定するのではありません。ユーザおよびヘルプデスクの管理者が環境内でレガシーユーティリティをどのように使用するかに留意してください。レガシーユーティリティは、NDSパスワードをNMASと通信せずに直接更新するため、ユニバーサルパスワードとNMAS 2.3を使用している場合、パスワードドリフト(ユニバーサルパスワードとNDSパスワードとの同期がずれる状態)が発生する場合があります。
たとえば、ユニバーサルパスワードのサポートを確認するには、ユーザがNovell Clientをアップグレードしていることを確認し、ヘルプデスクのユーザがConsoleOneを最新のNovell ClientまたはNetWareリリースのみで使用していることを確認します。
図 5-5 NMASを使用したパスワードの同期
Identity ManagerとNMAS
Identity Managerは、「エントリポイント」を制御します(ユニバーサルパスワードまたは配布パスワードのどちらかを直接更新します)。NMASは、アイデンティティボールト内のパスワード同期のフローを制御します。
シナリオ1では、eDirectoryのIdentity Managerドライバを使用して、NDSパスワードを直接更新できます。このシナリオは基本的に、DirXML 1.xで提供されるものと同じです。
シナリオ2、シナリオ3、およびシナリオ4では、Identity Managerを使用して、ユニバーサルパスワードまたは配布パスワードのいずれかを更新します。Identity ManagerはNMASと通信して、パスワードを変更します。これにより、NMASはNMASパスワードポリシーの設定の決定に基づき他のアイデンティティボールトパスワードを更新し、パスワードを接続システムと同期できるように、NMASパスワードポリシーから高度なパスワードルールを適用できます。これらのシナリオでは、接続システムにIdentity Managerが配布するパスワードは、必ず配布パスワードとなります。
シナリオ2、シナリオ3、およびシナリオ4の間での違いは、NMASパスワードポリシーセットとそれぞれの接続システムドライバ用のIdentity Managerのパスワード同期の設定の異なる組み合わせにあります。
5.8.2 シナリオ1: NDSパスワードを使用した、2つのアイデンティティボールト間の同期
Password Synchronization 1.0と同様に、eDirectoryドライバを使用して2つのアイデンティティボールト間でNDSパスワードを同期できます。このシナリオでは、ユニバーサルパスワードの実装は必要ありません。このシナリオはeDirectory 8.6.2以降で使用できます。この種類のパスワード同期は、公開鍵と秘密鍵のペアの同期とも呼ばれます。
アイデンティティボールト間でパスワードを同期する場合のみ、この方法を使用する必要があります。この方法はNMASを使用しないので、接続アプリケーションとパスワードを同期する目的では使用できません。
シナリオ1の長所と短所
表 5-11 長所: NDSパスワードを使用したeDirectory間でのパスワード同期
次の図は、DirXML 1.xと同様、eDirectoryのIdentity Managerドライバを使用して2つのアイデンティティボールト間でNDSパスワードを同期できることを示します。このシナリオでは、NMASと通信しません。
図 5-6 NDSパスワードを使用した、2つのアイデンティティボールト間の同期
シナリオ1の設定
この種類のパスワード同期を設定するには、ドライバを設定します。
ユニバーサルパスワードの展開
必要ありません。
パスワードポリシーの設定
ありません。
パスワード同期の設定
ありません。ドライバの[パスワード同期]ページの設定は、この方法のNDSパスワード同期には影響しません。
ドライバ環境設定
セクション 5.3.4, ドライバ環境設定で必要なポリシーのリストに記載されているパスワード同期のポリシーを削除します。これらのポリシーは、ユニバーサルパスワードおよび配布パスワードをサポートするためのものです。NDSパスワードは、これらのポリシーではなく、公開鍵および秘密鍵の属性を使用して、同期化されます。
両方のアイデンティティボールトドライバのドライバフィルタによって、パスワードを同期するすべてのオブジェクトクラスの公開鍵および秘密鍵の属性が同期されていることを確認します。次の図は、例を示します。
図 5-7 秘密鍵と公開鍵の属性の同期
![フィルタで[Private Key (秘密鍵)]および[Public Key (公開鍵)]を[同期]に設定する](../graphics/psync_scen1_nds_synckeypair_a.gif)
シナリオ1のトラブルシューティング
- DStraceオプションをオンにします。
- ドライバフィルタについて、公開鍵と秘密鍵の属性が同期されており、無視されていないことを確認します。
- セクション 5.13, パスワード同期のトラブルシューティングのヒントも参照してください。
5.8.3 シナリオ2: ユニバーサルパスワードを使用した同期
Identity Managerでは、接続システムのパスワードをアイデンティティボールトのユニバーサルパスワードに同期できます。
ユニバーサルパスワードが更新されると、NMASパスワードポリシーの設定により、NDSパスワード、配布パスワード、または単純パスワードも更新できます。
接続システムはパスワードをIdentity Managerに発行できますが、すべての接続システムがユーザの実際のパスワードを提供できるわけではありません。たとえば、Active Directoryはユーザの実際のパスワードをIdentity Managerに発行できます。PeopleSoftはPeopleSoftシステム自体からパスワードを提供することはできませんが、ユーザの従業員IDまたは名字に基づくパスワードなど、ドライバ環境設定のポリシーで作成された初期パスワードは提供できます。すべてのドライバがIdentity Managerからパスワードの変更を取得できるわけではありません。セクション 5.2, パスワード同期をサポートする接続システムを参照してください。
シナリオ2の長所と短所
表 5-12 長所: ユニバーサルパスワードを使用した同期
このシナリオの図は、次のフローを示します。
- パスワードが、Identity Managerを通って来る。
- Identity ManagerがNMASと通信して、ユニバーサルパスワードを直接更新する。
- NMASが、ユニバーサルパスワードを、NMASパスワードポリシー設定に従って配布パスワードおよびその他のパスワードに同期する。
- Identity Managerが配布パスワードを取得し、パスワードを受け入れるように設定されている接続システムに配布する。
この図では複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成することに注意してください。
図 5-8 ユニバーサルパスワードを使用したパスワードの同期
シナリオ2の設定
この種類のパスワード同期を設定する
ユニバーサルパスワードの展開
現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。セクション 5.4, Identity Managerのパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
パスワードポリシーの設定
NMASパスワードポリシーが、この種類のパスワード同期を実行したいアイデンティティボールトの一部に割り当てられていることを確認します。
-
iManagerで、[パスワード]>[パスワードポリシー]の順に選択します。
-
ポリシーを選択し、[編集]をクリックします。
-
パスワード同期を実行するオブジェクトを参照して選択します。
ツリー構造全体(セキュリティコンテナのログインポリシーオブジェクトを参照して選択する)、パーティションルートコンテナ、コンテナ、または特定のユーザに、ポリシーを割り当てることができます。管理を簡易化するには、ツリー内のできるだけ高い位置にパスワードポリシーを割り当てることをお勧めします。
-
[パスワードポリシー]で、次のオプションが選択されていることを確認します。
-
Identity Managerは配布パスワードを取得して接続システムに配布するので、双方向のパスワード同期を可能にするためにこのオプションをオンにすることが重要です。
-
必要に応じ、[パスワードポリシー]の他の設定を完了します。
NMASは、ルールが有効にされている場合、パスワードポリシーの高度なパスワードルールを適用します。パスワードポリシーのルールを適用しない場合は、[高度なパスワードルールを有効にする]チェックボックスをオフにします。
高度なパスワードルールを使用する場合は、パスワードを取得している接続システムのパスワードポリシーと競合しないことを確認します。
パスワード同期の設定
-
iManagerで、[パスワード]>[パスワード同期]の順に選択します。
-
接続システムのドライバを検索し、ドライバを選択します。
-
接続システムのドライバの設定を作成します。
次のオプションが選択されていることを確認します。
-
ドライバマニフェストに「password-publish」機能が含まれていない場合、メッセージがページに表示されます。これは、パスワードがアプリケーションから取得できず、パスワードを発行するには、ポリシーを使用してドライバ環境設定にパスワードを作成するしかないことをユーザに通知するものです。
-
接続システムがパスワードの受け入れをサポートしない場合、このオプションは淡色表示になります。
これらの設定により、接続システムでサポートされている場合には、双方向のパスワード同期が可能になります。
パスワードの信頼されたソースについては、ビジネスポリシーに合わせて設定を調整できます。たとえば、接続システムがパスワードを取得するが発行しないようにする場合は、[パスワードを受け入れるアプリケーション(購読者チャネル)]のみを選択します。
-
-
[パスワード同期に配布パスワードを使用する]がオフになっていることを確認します。
このシナリオでは、Identity Managerがユニバーサルパスワードを直接更新します。接続システムへのパスワードの配布には引き続き配布パスワードが使用されますが、配布パスワードは、Identity ManagerではなくNMASにより、ユニバーサルパスワードから更新されます。
-
(オプション)必要に応じ、次のオプションを選択します。
-
電子メール通知には、eDirectoryユーザオブジェクトのインターネット電子メールアドレス属性の入力が必要です。
電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、再試行されません。ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
-
ドライバ環境設定
-
必要なIdentity Managerスクリプトパスワード同期ポリシーが、パスワード同期に使用する各ドライバのドライバ環境設定に含まれていることを確認します。
ポリシーは、ドライバ環境設定の正しい位置に正しい順序で記述されている必要があります。ポリシーのリストについては、セクション 5.3.4, ドライバ環境設定で必要なポリシーを参照してください。
Identity Manageのサンプル環境設定には、すでにポリシーが含まれています。既存のドライバをアップグレードする場合は、セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードのステップを使用してポリシーを追加できます。
-
nspmDistributionPassword属性について、フィルタを正しく設定します。
- 発行者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を無視するよう設定します。
- 購読者チャネルについては、ドライバフィルタがパスワードの変更を受信するすべてのオブジェクトクラスのnspmDistributionPassword属性を通知するよう設定します。
-
nspmDistributionPassword属性が[お知らせ]に設定されているすべてのオブジェクトでは、公開鍵および秘密鍵の属性の両方を[無視]に設定します。
![フィルタの公開鍵および秘密鍵の[無視]の設定](../graphics/psync_filter_edir_pubkey_a.gif)
-
パスワードのセキュリティを確保するには、Identity Managerのオブジェクトへの権利を持つユーザを制御していることを確認します。
シナリオ2のトラブルシューティング
セクション 5.13, パスワード同期のトラブルシューティングのヒントも参照してください。
シナリオ2のフローチャート
次のフローチャートは、NMASがIdentity Managerから受信するパスワードの処理の方法を示しています。このシナリオでは、パスワードがユニバーサルパスワードに同期されます。NMASでは、次に基づいてパスワードを処理する方法が決定されます。
- NMASパスワードポリシーで、ユニバーサルパスワードが有効になっているかどうか。
- 着信パスワードが準拠する必要がある高度なパスワードルールが有効になっているかどうか。
- ユニバーサルパスワードとその他のパスワードとを同期するためのパスワードポリシーに、どのようなその他の設定があるのか。
図 5-9 NMASがIdentity Managerから受信するパスワードの処理の方法
アイデンティティボールトへのログインの問題
- DSTraceで、[+AUTH]、[+DXML]、および[+DVRS]の設定をオンにします。
図 5-10 DSTraceコマンド
- <password>または<modify-password>の要素がIdentity Managerに渡されていることを確認します。渡されていることを確認するには、トレース画面のオプションがオンになっていることを確かめます。
- パスワードポリシーのルールに従い、パスワードが有効であることを確認します。
- NMASパスワードポリシーの設定と割り当てを確認します。ポリシーをユーザに直接割り当て、正しいポリシーが使用されるようにします。
- ドライバの[パスワード同期]ページで、[パスワードを受理するDirXML]が選択されていることを確認します。
- [パスワードポリシー]で、[ユニバーサルパスワードの設定時に配布パスワードを同期する]が選択されていることを確認します。
パスワードを取得する別の接続システムへのログインのトラブルシューティング
この節では、接続システムがIdentity Managerにパスワードを発行しているけれども、パスワードを取得するもう1つの接続システムが発行側のシステムからの変更を取得していないように思われる場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを取得することを意味します。
- DSTraceの[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理を確認します。
- ドライバのIdentity Managerのトレースレベルを[3]に設定します。
- [パスワード同期]の[パスワードを受理するIdentity Manager]オプションが選択されていることを確認します。
- ドライバフィルタのnspmDistributionPassword属性が、ステップ 2に説明されているとおりに正しく設定されていることを確認します。
- <password> (Addの場合)または<modify-password>の要素が接続システムに送信されていることを確認します。確認するには、DSTrace画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- Identity Managerスクリプトパスワードポリシーが、セクション 5.3.4, ドライバ環境設定で必要なポリシーで説明されているとおり、ドライバ環境設定の正しい位置と順序にあることを確認します。
- アイデンティティボールトのNMASパスワードポリシーを、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。
パスワードのエラーについての電子メールが生成されない
- DSTraceの[+DXML]の設定をオンにし、Identity Managerのルール処理を確認します。
- ドライバのIdentity Managerのトレースレベルを[3]に設定します。
- 電子メールを生成するルールが選択されていることを確認します。
- アイデンティティボールトブジェクトを検証し、ユーザの正しい電子メールアドレスがインターネット電子メールアドレス属性に含まれていることを確認します。
- [Notification Configuration (通知設定)]タスクで、SMTPサーバと電子メールテンプレートが正しく設定されていることを確認します。セクション 5.12, 電子メール通知の設定を参照してください。
[オブジェクトパスワードの確認]を使用した場合のエラー
iManagerの[パスワードステータスの確認]タスクにより、ドライバで[オブジェクトパスワードの確認]アクションが発生します。問題が発生した場合は、次を確認します。
- [オブジェクトパスワードの確認]が-603を返す場合、アイデンティティボールトブジェクトにnspmDistributionPassword属性が含まれていません。nspmDistributionPassword属性に対してドライバフィルタが正しい設定になっていることを確認します。また、パスワードポリシーで[ユニバーサルパスワードの設定時に配布パスワードを同期する]が選択されていることを確認します。
- [オブジェクトパスワードの確認]が「同期されていません」を返す場合、ドライバ環境設定に適切なパスワード同期のポリシーが含まれていることを確認します。
- アイデンティティボールトのNMASパスワードポリシーを、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。
- [オブジェクトパスワードの確認]は、配布パスワードから操作します。配布パスワードが更新されていない場合、[オブジェクトパスワードの確認]によって、パスワードが同期されていることがレポートされないことがあります。
- Identity Managerドライバのみについては、[パスワードステータスの確認]は、配布パスワードではなくNDSパスワードを確認することに注意してください。
DSTraceの便利なコマンド
: Identity Managerルール処理および可能性のあるエラーメッセージを表示する
: Identity Managerドライバのメッセージを表示する
: NDSパスワードの変更を表示する
5.8.4 シナリオ3: Identity Managerでの配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期
このシナリオでは、Identity Managerは配布パスワードを直接更新し、他のアイデンティティボールトパスワードをどのように同期するかはNMASが決定します。
接続システムはパスワードをIdentity Managerに発行できますが、すべての接続システムがユーザの実際のパスワードを提供できるわけではありません。たとえば、Active Directoryはユーザの実際のパスワードをIdentity Managerに発行できます。PeopleSoftはPeopleSoftシステム自体からパスワードを提供することはできませんが、ユーザの従業員IDまたは名字に基づくパスワードなど、ドライバ環境設定のポリシーで作成された初期パスワードは提供できます。すべてのドライバがIdentity Managerからパスワードの変更を取得できるわけではありません。セクション 5.2, パスワード同期をサポートする接続システムを参照してください。
シナリオ3の長所と短所
表 5-13 長所: 配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期
|
長所 |
短所 |
|---|---|
|
アイデンティティボールトと接続システム間でパスワードを同期できます。 接続システムから受信したパスワードに対して、パスワードポリシーを適用するかどうかを選択できます。 パスワード同期が失敗した場合に通知を送信するよう指定できます。 パスワードポリシーを適用する場合、接続システムのパスワードがパスワードポリシーに準拠しないときに配布パスワードにリセットするよう選択できます。 |
|
このシナリオの図は、次のフローを示します。
- パスワードが、Identity Managerを通って来る。
- Identity ManagerがNMASと通信して、配布パスワードを直接更新する。
- Identity Managerは配布パスワードを使用し、パスワードを受け入れるよう指定した接続システムに配布します。
- NMASが、ユニバーサルパスワードを、NMASパスワードポリシー設定に従って配布パスワードおよびその他のパスワードに同期する。
この図では複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成することに注意してください。
図 5-11 配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期
シナリオ3の設定
この種類のパスワード同期を設定する
ユニバーサルパスワードの展開
現在の環境でユニバーサルパスワードを使用する準備ができていることを確認します。セクション 5.4, Identity Managerのパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
パスワードポリシーの設定
-
iManagerで、[パスワード]>[パスワードポリシー]の順に選択します。
-
パスワードポリシーが、この種類のパスワード同期を実行したいアイデンティティボールトツリーの一部に割り当てられていることを確認します。パスワードポリシーは、ツリー構造全体、パーティションルートコンテナ、コンテナ、または特定のユーザに割り当てることができます。管理を簡易化するには、ツリー内のできるだけ高い位置にパスワードポリシーを割り当てることをお勧めします。
-
[パスワードポリシー]で、次のオプションが選択されていることを確認します。
-
Identity Managerは配布パスワードを取得して接続システムに配布するので、双方向のパスワード同期を可能にするためにこのオプションをオンにすることが重要です。
-
高度なパスワードルールを使用する場合は、パスワードを取得している接続システムのパスワードポリシーと競合しないことを確認します。
パスワード同期の設定
-
iManagerで、[パスワード]>[パスワード同期]の順に選択します。
-
接続システムのドライバを検索し、ドライバを選択します。
-
接続システムのドライバの設定を作成します。
次のオプションが選択されていることを確認します。
-
ドライバマニフェストに「password-publish」機能が含まれていない場合、メッセージがページに表示されます。これは、パスワードがアプリケーションから取得できず、パスワードを発行するには、ポリシーを使用してドライバ環境設定にパスワードを作成するしかないことをユーザに通知するものです。
これらの設定により、接続システムでサポートされている場合には、双方向のパスワード同期が可能になります。
パスワードの信頼されたソースについては、ビジネスポリシーに合わせて設定を調整できます。たとえば、接続システムがパスワードを取得するが発行しないようにする場合は、[パスワードを受け入れるアプリケーション(購読者チャネル)]のみを選択します。
-
[パスワード同期に配布パスワードを使用する]のオプションを使用し、パスワード同期のNMASパスワードポリシーを適用させるか無視するかを指定します。
-
(オプション)パスワードポリシーを適用させるように指定した場合、パスワードがポリシーに準拠しない場合に接続システムのパスワードをIdentity Managerがリセットするかどうかも指定します。
-
(オプション)必要に応じ、次のオプションを選択します。
-
電子メール通知には、eDirectoryユーザオブジェクトのインターネット電子メールアドレス属性の入力が必要です。
電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、再試行されません。ただし、電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
-
ドライバ環境設定
-
必要なIdentity Managerスクリプトパスワード同期ポリシーが、パスワード同期に使用する各ドライバのドライバ環境設定に含まれていることを確認します。
ポリシーは、ドライバ環境設定の正しい位置に正しい順序で記述されている必要があります。ポリシーのリストについては、セクション 5.3.4, ドライバ環境設定で必要なポリシーを参照してください。
Identity Manageのサンプル環境設定には、すでにポリシーが含まれています。既存のドライバをアップグレードする場合は、セクション 5.7, パスワード同期をサポートするための、既存のドライバ環境設定のアップグレードのステップを使用してポリシーを追加できます。
-
nspmDistributionPassword属性について、フィルタを正しく設定します。
- 発行者チャネルについては、ドライバフィルタがすべてのオブジェクトクラスのnspmDistributionPassword属性を無視するよう設定します。
- 購読者チャネルについては、ドライバフィルタがパスワードの変更を受信するすべてのオブジェクトクラスのnspmDistributionPassword属性を通知するよう設定します。
-
nspmDistributionPassword属性が[お知らせ]に設定されているすべてのオブジェクトでは、ドライバフィルタの公開鍵および秘密鍵の属性の両方を[無視]に設定します。
-
パスワードのセキュリティを確保するには、Identity Managerのオブジェクトへの権利を持つユーザを制御していることを確認します。
シナリオ3のトラブルシューティング
セクション 5.13, パスワード同期のトラブルシューティングのヒントも参照してください。
シナリオ3のフローチャート
次のフローチャートは、NMASがIdentity Managerから受信するパスワードの処理の方法を示しています。このシナリオではパスワードが配布パスワードに同期され、NMASでは次が決定されます。
- パスワードポリシーのルールに対して着信パスワードを検証する必要があることを指定したかどうかに基づいた、パスワードの処理方法(ユニバーサルパスワードおよび高度なパスワードルールが有効になっている場合)。
- ユニバーサルパスワードとその他のパスワードとを同期するためのパスワードポリシーに、どのようなその他の設定があるのか。
図 5-12 配布パスワードに同期されるIdentity Managerのパスワード
eDirectoryへのログインのトラブルシューティング
- DSTraceで、[+AUTH]、[+DXML]、および[+DVRS]の設定をオンにします。
図 5-13 DSTraceコマンド
- <password>または<modify-password>の要素がIdentity Managerに渡されていることを確認します。確認するには、DSTrace画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- NMASパスワードポリシーのルールに従い、パスワードが有効であることを確認します。
- NMASパスワードポリシーの設定と割り当てを確認します。ポリシーをユーザに直接割り当て、正しいポリシーが使用されるようにします。
- ドライバの[パスワード同期]ページで、[パスワードを受理するIdentity Manager(発行者チャネル)]が選択されていることを確認します。
- [パスワードポリシー]で、[ユニバーサルパスワードの設定時に配布パスワードを同期する]が選択されていることを確認します。
- [パスワードポリシー]で、必要に応じて[ユニバーサルパスワードの設定時にNDSパスワードを同期する]が選択されていることを確認します。
- ユーザがNovell ClientまたはConsoleOneを通じてログインしている場合は、バージョンを確認します。ユニバーサルパスワードがNDSパスワードに同期されていない場合、従来のNovell ClientおよびConsoleOneからは、アイデンティティボールトにログインできないことがあります。
ユニバーサルパスワードを認識するNovell ClientおよびConsoleOneのバージョンが利用できます。『NMAS 3.0 Administration Guide』を参照してください。
- レガシーユーティリティの中にはNDSパスワードを使用して認証するものがありますが、ユニバーサルパスワードがNDSパスワードに同期されていない場合には、それらもアイデンティティボールトにはログインできません。ほとんどのユーザはNDSパスワードを使用せず、管理者またはヘルプデスクのユーザがレガシーユーティリティへの認証を必要とする場合は、ヘルプデスクのユーザには異なるパスワードポリシーを使用し、異なるユニバーサルパスワード同期のオプションを指定できるようにします。
パスワードを取得する別の接続システムへのログインのトラブルシューティング
この節では、接続システムがIdentity Managerにパスワードを発行しているけれども、パスワードを取得するもう1つの接続システムが発行側のシステムからの変更を取得していないように思われる場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを取得することを意味します。
- DSTraceの[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理および可能性のあるエラーを確認します。
- ドライバのIdentity Managerのトレースレベルを[3]に設定します。
- [パスワード同期]ページの[パスワードを受理するIdentity Manager(発行者チャネル)]オプションが選択されていることを確認します。
- [パスワードポリシー]で、[ユニバーサルパスワードの設定時に配布パスワードを同期する]がオフになっていることを確認します。
Identity Managerは、配布パスワードを使用し、パスワードを接続システムに同期します。ユニバーサルパスワードは、この同期方法の配布パスワードに同期させる必要があります。
- ドライバフィルタのnspmDistributionPassword属性を確認します。
- <password>要素(追加の場合)または<modify-password>要素が、nspmDistributionPassword属性の追加操作または変更操作に変換されていることを確認します。確認するには、DSTrace画面またはファイルのオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- Identity Managerスクリプトパスワードポリシーが、セクション 5.3.4, ドライバ環境設定で必要なポリシーで説明されているとおり、ドライバ環境設定の正しい位置と順序にあることを確認します。
- アイデンティティボールトのパスワードポリシーを、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。
パスワードのエラーについての電子メールが生成されない
- DSTraceの[+DXML]の設定をオンにし、Identity Managerのルール処理を確認します。
- ドライバのIdentity Managerのトレースレベルを[3]に設定します。
- 電子メールを生成するルールが選択されていることを確認します。
- アイデンティティボールトブジェクトを検証し、インターネット電子メールアドレス属性に正しい値が含まれていることを確認します。
- [Notification Configuration (通知設定)]タスクで、SMTPサーバと電子メールテンプレートが設定されていることを確認します。セクション 5.12, 電子メール通知の設定を参照してください。
電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、再試行されません。電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
[パスワードステータスの確認]を使用した場合のエラー
iManagerの[パスワードステータスの確認]タスクにより、ドライバで[オブジェクトパスワードの確認]アクションが実行されます。
- 接続システムがパスワードのチェック機能をサポートすることを確認してください。セクション 5.2, パスワード同期をサポートする接続システムを参照してください。
接続システムがパスワードチェック機能をサポートするようドライバマニフェストに示されてない場合は、iManagerからこの機能を使用することはできません。
- [オブジェクトパスワードの確認]が-603を返す場合、アイデンティティボールトブジェクトにnspmDistributionPassword属性が含まれていません。ドライバフィルタ、および[パスワードポリシー]の[Synchronize Universal to Distribution (ユニバーサルパスワードの設定時に配布パスワードを同期する)]オプションを確認します。
- [オブジェクトパスワードの確認]が「同期されていません」を返す場合、ドライバ環境設定にIdentity Managerパスワード同期の適切なポリシーが含まれていることを確認します。
- アイデンティティボールトのパスワードポリシーを、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。
- [オブジェクトパスワードの確認]は、配布パスワードを確認します。配布パスワードが更新されていない場合、[オブジェクトパスワードの確認]によって、パスワードが同期されていることがレポートされないことがあります。
- アイデンティティボールトでは、[パスワードステータスの確認]は、ユニバーサルパスワードではなくNDSパスワードを確認することに注意してください。つまり、ユーザのパスワードポリシーでNDSパスワードをユニバーサルパスワードに同期するよう指定されていない場合は、必ず、パスワードが同期されていないとレポートされます。配布パスワードおよび接続システムのパスワードは同期されないことがありますが、NDSパスワードおよび配布パスワードの両方がユニバーサルパスワードに同期されない限り、[パスワードステータスの確認]は正確とは限りません。
DSTraceの便利なコマンド
: Identity Managerルール処理および可能性のあるエラーメッセージを表示する
: Identity Managerドライバのメッセージを表示する
NDSパスワードの変更を表示する
5.8.5 シナリオ4: トンネリング—Identity Managerでの配布パスワードの更新による、アイデンティティボールトではなく接続システムの同期
Identity Managerでは、アイデンティティボールトのパスワードはそのままにしながら、接続システム間でパスワードを同期できます。これは「トンネリング」と呼ばれます。
このシナリオでは、Identity Managerが配布パスワードを直接更新します。このシナリオはセクション 5.8.4, シナリオ3: Identity Managerでの配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期とほとんど同じです。異なる点は、ユニバーサルパスワードおよび配布パスワードは同期されないことです。これは、NMASパスワードポリシーを使用しないか、または[ユニバーサルパスワードの設定時に配布パスワードを同期する]オプションを無効にしたパスワードポリシーを使用して実行します。
シナリオ4の長所と短所
表 5-14 トンネリングの長所
このシナリオの図は、次のフローを示します。
- パスワードが、Identity Managerを通って来る。
- Identity ManagerがNMASと通信して、配布パスワードを直接更新する。
- Identity Managerは配布パスワードを使用し、パスワードを受け入れるよう指定した接続システムにパスワードを配布します。
このシナリオの重要な点は、NMASパスワードポリシーで、[Synchronize Universal Password with Distribution Password (ユニバーサルパスワードの設定時に配布パスワードを同期する)]が無効になっていることです。配布パスワードとユニバーサルパスワードは同期されないので、Identity Managerは、アイデンティティボールトのパスワードはそのままにしながら、接続システム間でパスワードを同期します。
この図では複数の接続システムがIdentity Managerに接続しているように示されていますが、接続システムのドライバごとに設定を作成することに注意してください。
図 5-14 Identity Managerでの配布パスワードの更新によるトンネリング
シナリオ4の設定
この種類のパスワード同期を設定するには、次を設定します。
ユニバーサルパスワードの展開
パスワードポリシーでユニバーサルパスワードを有効にする必要はありません。ただし、現在の環境で、ユニバーサルパスワードをサポートするeDirectory 8.7.3を使用していることが必要です。セクション 5.4, Identity Managerのパスワード同期およびユニバーサルパスワードを使用するための準備作業を参照してください。
パスワードポリシーの設定
この方法では、アイデンティティボールトユーザに対するパスワードポリシーの設定は必要ありません。
ただし、パスワードポリシーを使用する場合は、次の作業を実行する必要があります。
-
次のオプションがオフになっていることを確認します。
-
アイデンティティボールトのパスワードに影響を与えずにパスワードのトンネリングを実行するには、これが重要です。ユニバーサルパスワードを配布パスワードと同期しないことによって、接続システムに対してIdentity Managerが使用する場合にのみ、配布パスワードをそのままにできます。Identity Managerは、アイデンティティボールトのパスワードには影響を与えずに接続システム間でパスワードを配布するルートとして機能します。
-
-
必要に応じてパスワードポリシーのその他の設定を行います。
パスワードポリシー内のその他のパスワード設定はオプションです。
パスワード同期の設定
セクション 5.8.4, シナリオ3: Identity Managerでの配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期の「パスワード同期の設定」と同じ設定を使用します。
ドライバ環境設定
セクション 5.8.4, シナリオ3: Identity Managerでの配布パスワードの更新による、アイデンティティボールトおよび接続システムの同期の「ドライバ環境設定」と同じ設定を使用します。
シナリオ4のトラブルシューティング
パスワード同期がトンネリングのための設定になっている場合、配布パスワードは、ユニバーサルパスワードおよびNDSパスワードと異なるものになります。
セクション 5.13, パスワード同期のトラブルシューティングのヒントも参照してください。
パスワードを取得する別の接続システムへのログインのトラブルシューティング
この節では、接続システムがIdentity Managerにパスワードを発行しているけれども、パスワードを取得するもう1つの接続システムが発行側のシステムからの変更を取得していないように思われる場合の、トラブルシューティングについて説明します。この関係は、第2の接続システムとも呼ばれ、第1の接続システムからIdentity Managerを通じてパスワードを取得することを意味します。
- DSTraceの[+DXML]および[+DVRS]の設定をオンにし、Identity Managerのルール処理および可能性のあるエラーを確認します。
- ドライバのIdentity Managerのトレースレベルを[3]に設定します。
- [パスワード同期]ページの[パスワードを受理するIdentity Manager(発行者チャネル)]オプションが選択されていることを確認します。
- [パスワードポリシー]で、[ユニバーサルパスワードの設定時に配布パスワードを同期する]がオフになっていることを確認します。
Identity Managerは、配布パスワードを使用し、パスワードを接続システムに同期します。ユニバーサルパスワードは、この同期方法の配布パスワードに同期させる必要があります。
- ドライバフィルタのnspmDistributionPassword属性が正しく設定されていることを確認します。
- <password>要素(追加の場合)と<modify-password>要素が、nspmDistributionPassword属性の追加操作または変更操作に変換されていることを確認します。確認するには、DSTrace画面またはファイルのトレースオプションが、最初の項目で説明したとおり、オンになっていることを確かめます。
- Identity Managerスクリプトパスワードポリシーが、セクション 5.3.4, ドライバ環境設定で必要なポリシーで説明されているとおり、ドライバ環境設定の正しい位置と順序にあることを確認します。
- アイデンティティボールトのパスワードポリシーを、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。
パスワードのエラーについての電子メールが生成されない
- DSTraceの[+DXML]の設定をオンにし、Identity Managerのルール処理を確認します。
- ドライバのIdentity Managerのトレースレベルを[3]に設定します。
- 電子メールを生成するルールが選択されていることを確認します。
- アイデンティティボールトブジェクトを検証し、インターネット電子メールアドレス属性に正しい値が含まれていることを確認します。
- [Notification Configuration (通知設定)]タスクで、SMTPサーバと電子メールテンプレートを確認します。セクション 5.12, 電子メール通知の設定を参照してください。
電子メール通知は、他に影響を与えません。これらは、電子メールをトリガしたXMLドキュメントの処理には影響しません。失敗した場合、操作自体が再試行されない限り、再試行されません。電子メール通知のデバッグメッセージはトレースファイルに書き込まれます。
[パスワードステータスの確認]を使用した場合のエラー
iManagerの[パスワードステータスの確認]タスクにより、ドライバで[オブジェクトパスワードの確認]アクションが実行されます。
- 接続システムがパスワードのチェック機能をサポートすることを確認してください。セクション 5.2, パスワード同期をサポートする接続システムを参照してください。
接続システムがパスワードチェック機能をサポートするようドライバマニフェストに示されてない場合は、iManagerからこの機能を使用することはできません。
- [オブジェクトパスワードの確認]アクションが-603を返す場合、アイデンティティボールトブジェクトにnspmDistributionPassword属性が含まれていません。Identity Manager属性フィルタ、および[パスワードポリシー]の[Synchronize Universal to Distribution (ユニバーサルパスワードの設定時に配布パスワードを同期する)]オプションを確認します。
- [オブジェクトパスワードの確認]アクションが「同期されていません」を返す場合、ドライバ環境設定にIdentity Managerパスワード同期の適切なポリシーが含まれていることを確認します。
- アイデンティティボールトのパスワードポリシーを、接続システムにより適用されるパスワードポリシーと比較し、互換性があることを確認します。
- [オブジェクトパスワードの確認]アクションは、配布パスワードを確認します。配布パスワードが更新されていない場合、[オブジェクトパスワードの確認]によって、パスワードが同期されていることがレポートされないことがあります。
DSTraceの便利なコマンド
: Identity Managerルール処理および可能性のあるエラーメッセージを表示する
: Identity Managerドライバのメッセージを表示する
: NDSパスワードの変更を表示する
: NDS DClientメッセージを表示する
5.8.6 シナリオ5: アプリケーションパスワードの単純パスワードへの同期
このシナリオは、パスワード同期機能の特別な使用方法です。Identity ManagerおよびNMASを使用し、接続システムからパスワードを取得して、直接アイデンティティボールトの単純パスワードに同期できます。接続システムがハッシュされたパスワードのみを提供する場合、ハッシュを元に戻さずに、単純パスワードに同期できます。他のアプリケーションは、同じクリアテキスト、あるいはLDAPまたはNovell Clientによりハッシュされたパスワードを使用し、アイデンティティボールトに対して認証できます。NMASコンポーネントは、単純パスワードをログインメソッドとして使用するよう設定されます。
接続システムのパスワードがクリアテキストである場合、そのまま接続システムからアイデンティティボールトの単純パスワードストアに発行できます。
接続システムがハッシュされたパスワード(MD5、SHA、SHA1、またはUNIX Cryptがサポートされています)のみを提供する場合、それらのパスワードは、{MD5}のようにハッシュの種類を指定して単純パスワードに発行する必要があります。
同じパスワードで認証する別のアプリケーションについては、ユーザのパスワードを取得しLDAPを使用して単純パスワードに対して認証するよう、アプリケーションをカスタマイズする必要があります。
NMASは、アプリケーションから取得したパスワードの値と、単純パスワードの値を比較します。単純パスワードとして保存されているパスワードがハッシュ値である場合、NMASは、アプリケーションのパスワードの値を使用して正しいタイプのハッシュ値を生成してから比較します。アプリケーションから取得したパスワードと単純パスワードが同一である場合、NMASはユーザを認証します。
このシナリオでは、ユニバーサルパスワードは使用できません。
NDSパスワードへの同期の長所
表 5-15 NDSパスワードへの同期の長所
図 5-15 NDSパスワードへの同期
シナリオ5の設定
パスワードポリシーの設定
このシナリオでは、ユーザに対するパスワードポリシーの設定は必要ありません。ユニバーサルパスワードは使用できません。
パスワード同期の設定
このシナリオでは、Identity Managerスクリプトを使用して、SAS:Login Configuration属性を直接変更します。つまり、iManagerの[パスワード同期]ページを使用して設定される、パスワード同期のグローバル構成値(GCV)に影響はありません。
ドライバ環境設定
-
フィルタのSAS:Login Configuration属性が、発行者チャネルおよび購読者チャネルの両方に対して[同期]に設定されていることを確認します。
-
ドライバポリシーで、接続システムからのパスワードを発行するよう設定します。
-
ハッシュされたパスワードについては、ドライバポリシーで、(ハッシュのタイプがアプリケーションからまだ提供されていない場合は)ハッシュのタイプを先頭に付けるよう設定します。
- {MD5}hashed_password
このパスワードはBase 64でエンコードされています。
- {SHA}hashed_password
このパスワードはBase 64でエンコードされています。
- {CRYPT}hashed_password
クリアテキストパスワードおよびUnix Cryptパスワードハッシュは、Base 64でエンコードされていません。
- {MD5}hashed_password
-
パスワードを単純パスワードに設定するには、SAS:Login Configuration属性を変更するようドライバポリシーを設定します。
次の例では、変更操作内でmodify-attr要素を使用して、単純パスワードをMD5でハッシュされたパスワードに変更する方法を示しています。
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-value> </modify-attr>クリアテキストパスワードについては、次の例に従います。
<modify-attr attr-name="SAS:Login Configuration> <add-value> <value>clearpwd</value> </add-value> </modify-attr>
追加操作については、add-attr要素に次のどちらかを含めます。
<add-attr attr-name="SAS:Login Configuration> <value>{MD5}2tEgXrIHtAnGHOzH3ENslg==</value> </add-attr>または
<add-attr attr-name="SAS:Login Configuration> <value>clearpwd</value> </add-attr>